All Products
Search

This Product

    Container Service for Kubernetes:Konfigurasi jaringan per node di kluster Terway

    Document Center

    Container Service for Kubernetes:Konfigurasi jaringan per node di kluster Terway

    Last Updated:Jun 24, 2026

    Secara default, node Terway menggunakan ConfigMap eni-config di namespace kube-system. Untuk menetapkan vSwitch dan security group khusus per node, buat ConfigMap khusus. Terway menggabungkannya ke dalam konfigurasi default menggunakan MergePatch (RFC 7396).

    Kasus penggunaan

    Konfigurasikan pengaturan jaringan per node saat:

    • Egress IP isolation: Pod tertentu memerlukan alamat IP NAT atau batas bandwidth khusus yang terpisah dari sisa kluster.

    image

    Prasyarat

    Pastikan Anda telah:

    Pertimbangan

    • Elastic network interfaces (ENIs) yang sudah ada tidak diperbarui secara otomatis. Hanya ENI yang dibuat setelah perubahan konfigurasi yang menggunakan vSwitch dan security group baru. Mode ENI bersama (default): versi terway-eniip >= v1.0.10.237. Mode ENI eksklusif: versi terway-eniip >= v1.14.5.

    • vSwitch harus berada di zona yang sama dengan node. vSwitch di zona berbeda tidak berpengaruh.

    • Batas jumlah security group. Tetapkan hingga 10 security group per ENI. Semua harus berada di VPC yang sama dan bertipe sama. Lihat Associate multiple security groups for an ENI.

    Konfigurasi pengaturan jaringan per node

    Buat ConfigMap dengan pengaturan jaringan yang diinginkan, beri label pada node target untuk mereferensikannya, lalu verifikasi bahwa ENI baru menggunakan pengaturan yang benar.

    Langkah 1: Buat ConfigMap

    Buat ConfigMap bernama foo di namespace kube-system untuk menentukan vSwitch dan security group bagi node yang diberi label.

    1. Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.

    2. Pada halaman Clusters, klik nama kluster target. Di panel navigasi sebelah kiri, pilih Configurations > ConfigMaps.

    3. Di halaman ConfigMap, pilih kube-system dari daftar drop-down Namespace, lalu klik Create.

    4. Di panel Create, atur ConfigMap Name menjadi foo. Klik Add, atur Name menjadi eni_conf, lalu masukkan JSON berikut sebagai Value. Ganti vswitches dan security_group dengan ID aktual Anda.

      {
    "vswitches": {
        "cn-hangzhou-g": [
            "vsw-10000"
        ],
        "cn-hangzhou-i": [
            "vsw-10001"
        ]
    },
    "security_group": "sg-10000",
    "security_groups": [
        "sg-10000",
        "sg-10001"
    ]
}
      Parameter Deskripsi
      vswitches Pemetaan ID zona ke daftar ID vSwitch. Setiap vSwitch harus berada di zona yang sama dengan node target. Temukan ID zona dan vSwitch di Konsol VPC di bawah vSwitch.
      security_group Untuk menetapkan satu security group, atur parameter ini dan biarkan security_groups bernilai null.
      security_groups Untuk menetapkan beberapa security group, atur parameter ini dan biarkan security_group bernilai null. Untuk menetapkan beberapa security group, atur parameter ini dan biarkan security_group bernilai null.

    5. Klik OK.

    Langkah 2: Beri label pada node

    Terapkan label terway-config=foo pada node yang harus menggunakan ConfigMap ini.

    Untuk node yang sudah ada:

    1. Di panel navigasi sebelah kiri halaman detail kluster, pilih Nodes > Nodes. Klik Manage Labels and Taints.

    2. Di tab Labels, pilih node target dan klik Add Label.

    3. Di dialog Add, atur Name menjadi terway-config dan value menjadi foo, lalu klik OK.

    4. Restart pod Terway agar perubahan diterapkan.

      1. Di panel navigasi sebelah kiri, pilih Workloads > Pods.

      2. Pilih kube-system dari daftar drop-down Namespace, cari terway-eniip, pilih semua pod yang sesuai, lalu klik Batch Delete.

      3. Klik OK. Kubernetes membuat ulang pod Terway.

      4. Tunggu hingga kolom Status menampilkan Running untuk semua pod terway-eniip. Pengaturan baru mulai berlaku setelah semua pod berstatus Running.

    Untuk node baru:

    Saat membuat node pool, tambahkan label dengan key diatur ke terway-config dan value diatur ke foo.

    Langkah 3: Verifikasi konfigurasi

    Setelah pod Terway direstart, verifikasi bahwa ENI baru menggunakan vSwitch dan security group yang benar.

    1. Masuk ke Konsol ECS. Di panel navigasi sebelah kiri, pilih Instances & Images > Instances.

    2. Klik nama Instance ECS target. Di halaman detail, klik tab ENIs.

    3. Verifikasi bahwa ENI yang digunakan untuk alokasi alamat IP pod dikaitkan dengan vSwitch dan security group dari ConfigMap.

    Catatan

    Jika alamat IP pod baru tidak berada dalam Blok CIDR vSwitch yang diharapkan, lihat FAQ tentang jaringan kontainer.